|
SECURITE
18/04/2007
Le ver Storm affole les compteurs de sécurité
Le code malveillant qui s'est massivement propagé en fin de semaine dernière n'a rien d'un petit nouveau. Il s'agit en effet d'une variante de Storm Worm apparu à l'occasion de la tempête qui avait balayé l'Europe les 18 et 19 janvier derniers, faisant près d'une quarantaine de victimes. Selon l'éditeur Sophos, l'importante diffusion de Storm Worm lui avait permis de représenter jusqu'à 67% des programmes malveillants détectés par son réseau de surveillance.
La nouvelle version du ver, Trojan.Peacomm pour Symantec, a été propagée par l'intermédiaire d'une importante vague de spam. Près de 5 millions de messages électroniques auraient ainsi été expédiés en l'espace de 24 heures. Comble de l'ironie, ces spams, lors d'une seconde vague, étaient intitulés notamment Worm Alert!, Worm Detected, Spyware Detected!, et prétendaient alerter les internautes sur une attaque, les invitant à télécharger un correctif pour s'en protéger. Une ficelle a priori large comme un câble d'amarrage mais qui aurait néanmoins permis de contaminer plus de 20 000 ordinateurs. Le volume de spam a depuis très nettement décru, après avoir conduit à une activité virale 60 fois supérieure à la moyenne. D'après Postini, spécialisé dans la sécurité des messageries, la semaine passée aurait été la plus active de l'année. A Storm Worm s'est en effet ajoutée une autre attaque, initiée seulement quelques jours plus tôt. Réalisée via des emails de spam également, son titre faisait allusion à des menaces de lancements de missiles.
Un peu de dissection et Storm Worm se dévoile. Dissimulé au sein d'un fichier .ZIP crypté, accessible uniquement par mot de passe dans le but de compliquer la tâche des antivirus, le programme malveillant, lors de son exécution, installe un rootkit. Celui-ci va ainsi masquer sa présence aux outils de sécurité avant de les désactiver.
Le programme va ensuite se connecter à un réseau Peer-To-Peer pour pouvoir y recevoir des instructions ultérieures, faisant de l'ordinateur infecté un PC zombie, membre d'un botnet. Enfin, il scannera le disque dur pour y découvrir des adresses électroniques auprès desquelles se propager. La constitution du botnet autour d'un réseau P2P et non un ou des serveurs IRC, comme c'est le cas en général, complique par conséquent sa neutralisation. Cela impose en effet de décontaminer chacun des 20 000 hôtes.
Principaux vecteurs de spam, les bots seraient cent cinquante millions selon Vinton Cerf, le co-inventeur de TCP/IP. Selon une autre estimation, entre 5 000 et 30 000 ordinateurs seraient transformés en PC zombies chaque jour. Lors de son dernier rapport, Symantec en décomptait 6 millions dans le monde, en hausse de 29% sur 6 mois.
|
||||||||||||||||||||||||||||